论文信息 - Avaliação de Ferramentas de Análise Estática de Código para Detecção de Vulnerabilidades

Avaliação de Ferramentas de Análise Estática de Código para Detecção de Vulnerabilidades

As ferramentas de analise estatica facilitam a deteccao de anomalias ou erros de codificacao existentes numa aplicacao. Estas ferramentas vem ajudar a eliminar lapsos cometidos pelos programadores, podendo ter um impacto significativo no ciclo de desenvolvimento de um produto, permitindo poupar tempo e dinheiro. Neste artigo e apresentado um teste que permite avaliar e comparar o desempenho de diversas ferramentas de analise estatica, nomeadamente em relacao ao numero de falsos alarmes reportados e as vulnerabilidades que ficam por localizar. Os resultados obtidos com um conjunto de nove ferramentas demonstram que muitas delas estao especializadas para certas classes de vulnerabilidades, e que em media produzem um numero significativo de falsos alertas. Dai ter-se concretizado uma nova ferramenta, designada por Mute, que utiliza um mecanismo de agregacao de resultados produzidos por varios outros analisadores. Uma avaliacao do Mute mostrou que ele era capaz de apresentar uma melhor eficacia e precisao na deteccao para um conjunto alargado de vulnerabilidades.

E. Teixeira | João Antunes | Nuno Neves

[1] Gary McGraw,et al. ITS4: a static vulnerability scanner for C and C++ code , 2000, Proceedings 16th Annual Computer Security Applications Conference (ACSAC'00).

[2] Ken Frazer,et al. Building secure software: how to avoid security problems the right way , 2002, SOEN.

[3] Gerard J. Holzmann,et al. UNO: Static Source Code Checking for User-Defined Properties 1 , 2002 .

[4] David A. Wagner,et al. Model Checking One Million Lines of C Code , 2004, NDSS.

[5] Wouter Joosen,et al. Code injection in C and C++: a survey of vulnerabilities and countermeasures , 2004 .

[6] Dominique Alessandri,et al. Attack-class-based analysis of intrusion detection systems , 2004 .

[7] Gary McGraw,et al. Software Penetration Testing , 2005, IEEE Secur. Priv..

[8] Alexander Ivanov Sotirov. AUTOMATIC VULNERABILITY DETECTION USING STATIC SOURCE CODE ANALYSIS , 2005 .

[9] Radu Rugina,et al. Memory Leak Analysis by Contradiction , 2006, SAS.

[10] George C. Necula,et al. Dependent Types for Low-Level Programming , 2007, ESOP.